Un nuevo malware Android llamado Raton ha evolucionado a partir de una herramienta básica que permite los elegantes ataques de retransmisión de comunicación de campo de troyano de acceso remoto (NFC) con capacidades del sistema de reenvío automático (ATS) para imponer fraude de dispositivos.
«Raton combina ataques superpuestos tradicionales con remesas automáticas y capacidades de retransmisión de NFC, lo que los convierte en una amenaza única y poderosa», dijo la compañía de seguridad móvil holandesa en un informe publicado hoy.
Los troyanos bancarios están equipados con características de adquisición de cuentas dirigidas a aplicaciones de billetera de criptomonedas como Metamask, Trust, Blockchain y Phantom. También puede ejecutar remesas automáticas que abusan de George Jesko, una aplicación bancaria utilizada en la República Checa.
Además, las páginas de superposición personalizadas y las cerraduras de dispositivos se pueden usar para llevar a cabo ataques con forma de rescate. Tenga en cuenta que también se ha observado que una variante de Hook Android Trojan incorpora una pantalla de superposición de estilo ransomware para mostrar un mensaje de miedo.
La primera muestra de distribución de Raton se detectó en la naturaleza el 5 de julio de 2025, y se descubrieron más artefactos el 29 de agosto de 2025, lo que indica un trabajo de desarrollo activo por parte del operador.
Raton utilizó la página de la lista Fake PlayStore para la versión para adultos de Tiktok (Tiktok 18+) para alojar la aplicación maliciosa de cuentagotas que proporciona caballos troyanos. No está claro cómo los usuarios están invitados actualmente a estos sitios, pero la actividad ha elegido usuarios checos y de habla eslovacas.
Una vez que se instala la aplicación Dropper, pide a los usuarios que estén autorizados para instalar la aplicación de fuentes de terceros para evitar las medidas críticas de seguridad impuestas por Google para evitar el abuso de los servicios de accesibilidad de Android.
La carga útil de la segunda etapa se realiza para permitir las solicitudes de gestión de dispositivos y servicios de accesibilidad, así como contactos de lectura/escritura, administrar la configuración del sistema y lograr la funcionalidad maliciosa.
Esto incluye otorgar permisos adicionales según sea necesario y descargar el malware de la tercera etapa. Esto no es más que malware NFSKate que puede realizar ataques de retransmisión NFC utilizando una técnica llamada Ghost Tap. La familia de malware se documentó por primera vez en noviembre de 2024.
«La adquisición de la cuenta y las capacidades de reenvío automático muestran que los actores de amenazas conocen muy bien el interior de sus aplicaciones objetivo», dijo Amenazfabric, explicando que construyeron malware desde cero y no compartieron similitud de código con otro malware bancario Android.
Eso no es todo. Raton puede proporcionar pantallas de superposición similar a las notas de Ransom, alegando que el teléfono del usuario está bloqueado para la visualización y la distribución de la pornografía infantil, y que tendrá que pagar $ 200 en criptomonedas para recuperar el acceso en dos horas.
Se sospecha que la nota de rescate está diseñada para inducir una falsa sensación de urgencia, abrir una aplicación de criptomonedas a las víctimas, hacer una transacción rápida y permitir a los atacantes capturar códigos PIN del dispositivo en el proceso.
«En el comando correspondiente, Raton inicia una aplicación de billetera de criptomonedas específica, la desbloquea utilizando el código PIN robado, hace clic en los elementos de la interfaz relacionados con la configuración de seguridad de la aplicación y revela la frase secreta en el paso final», detalles detallados de amenaza de la función de adquisición de la cuenta.
Los datos confidenciales son registrados por el componente Keylogger y excluidos de los servidores externos bajo el control de los actores de amenaza, lo que permite que las frases de semillas obtengan acceso no autorizado a la cuenta de la víctima y roben activos de criptomonedas.
Algunos comandos notables procesados por Raton se enumeran a continuación –
send_push, envíe una notificación falsa de notificación screen_lock, cambie el tiempo de espera de la pantalla de bloqueo del dispositivo al valor especificado WhatsApp, inicie WhatsApp App_Inject, cambie la lista de aplicaciones financieras específicas, envíe una lista de aplicaciones instaladas con el dispositivo Send_SMS, envíe un mensaje SMS utilizando el servicio de accesibilidad. Bloquear el dispositivo Usando el acceso a Administración de dispositivos Add_Contact, cree un nuevo contacto utilizando el registro de nombre y número de teléfono especificados, inicie la pantalla de sesión de reparto de pantalla, bloquee el bloqueo para crear un nuevo contacto para activar/desactivar la fundición de la pantalla
«Los grupos de actores de amenaza inicialmente atacaron a la República Checa, pero es probable que Eslovaquia sea el próximo enfoque», dijo Amenazfabric. «La razón detrás de la concentración en aplicaciones de una sola banca sigue siendo desconocida. Sin embargo, el hecho de que las transferencias automatizadas requieren números de cuenta bancaria local sugieren que los actores de amenaza pueden estar trabajando con mulas de dinero locales».
Source link
